基于網絡安全策略的可視化管理平臺研究

劉潤福，李志強，梁建輝，孟 超，朱 祎

（中國鐵路蘭州局集團有限公司 信息技術所，蘭州 730000）

隨著我國鐵路信息化建設的快速發展，計算機網絡規模越來越大，網絡安全的重要性與日俱增，網絡安全策略配置和管理工作中出現策略規則數量增加、效果評估難以完成及合規性難以保證等現象[1]。因此，許多學者對網絡安全策略管理進行了研究。周映等人[2]提出動態自適應網絡安全防御系統，通過對網絡攻擊行為進行動態響應，實現對網絡攻擊的動態安全防御；李泓杉等人[3]分析金融業在網絡安全與信息安全方面出現的問題，提出了進一步完善金融行業網絡信息安全的防御體系；高智強等人[4]通過改進蜉蝣算法，優化了其在防火墻策略配置中的應用。但已有方案仍然存在管理顆粒度過粗、防火墻兼容性和墻間策略不統一等問題。

基于上述問題，本文構建基于網絡安全策略的可視化管理平臺，從網絡安全視角實現對網絡訪問權限的風險分析、訪問路徑可視化、安全策略可視化和用戶業務權限管理，增強網絡安全防護能力。

1 平臺構建

1.1 平臺部署

根據既有理論和實際部署經驗，將網絡安全策略可視化管理平臺部署在綜合信息網內，旁掛于核心交換機，以保證服務器可訪問并讀取所有三層設備配置。網絡數據由聯通、移動、電信等運營商端口輸送到負載均衡單元，再通過防火墻過濾到達核心交換機模塊。在核心交換機模塊接入網絡安全策略可視化平臺，通過該平臺的邏輯拓撲架構、網絡安全策略態勢感知和報表報告，進一步強化網絡安全管理。經網絡安全策略判別為合格的信號方可傳輸至三層交換機，并由其輸送至用戶客戶端，實現基于網絡安全策略可視化平臺的網絡傳輸。平臺部署方案如圖1所示。

圖1 網絡安全策略可視化平臺部署方案

1.2 總體架構

基于網絡安全策略的可視化平臺總體架構分為數據交換層、建模分析層、清理運行維護（簡稱：運維）層和監控呈現層，如圖2所示。

圖2 網絡安全策略可視化管理平臺總體架構

1.2.1 數據交換層

數據交換層利用Syslog采集多種防火墻和路由器設備信息，通過SSH/API對交換機、負載均衡設備進行配置采集和配置下發，并將收集的信息交由建模分析層使用，實現網絡安全策略數據的自動化收集，為建模分析提供數據支撐。

1.2.2 建模分析層

建模分析層基于自動收集的網絡安全策略數據，進行策略分析與檢測，包括以下2種方式。

（1）策略分析是對網絡節點策略進行查詢、統計、檢查、收斂和梳理，通過策略分析檢測出的隱藏策略、冗余策略、空策略、過期策略、域外策略、寬松策略及未生效對象整理出攻擊面，以整個網絡（簡稱：全網）主機為對象，從安全路徑角度描述其對外的暴露情況，輔助進行暴露面收斂與路徑安全加固；

（2）安全域拓撲管理可輔助網絡管理員建立正確的網絡訪問控制策略規范和基線，并通過技術手段對存量安全策略進行即時或定期的檢測，及時發現違規策略，并提供處置建議。

1.2.3 清理運維層

清理運維層是通過對策略報表檢測出的問題進行策略風險評估，從而對網絡安全策略進行針對性綜合配置，包括以下3項主要功能。

（1）策略優化清理：對安全設備進行配置檢查和收斂分析，并給出具體的網絡安全策略配置建議；

（2）安全風險分析：根據劃分的邏輯安全域，提供安全域集中管理、域間安全策略合規檢查和網絡暴露風險管理；

（3）策略智能運維：通過子網列表進行安全策略工單管理，并提供全網拓撲，進行路徑分析和數據預存儲，為數據流及路徑查詢提供依據。

1.2.4 監控呈現層

監控呈現層通過邏輯拓撲架構及策略態勢感知，匯集建模分析結果，形成策略報表，并對策略進行匯總和大屏展示。其中，報表報告可提供策略列表、策略檢查、策略文本匹配、策略五元組匹配、策略概覽等數據的統計功能。報表以Excel的形式展示所選設備上的網絡安全策略、網絡地址轉換（NAT，Network Address Translation）策略、訪問控制列表（ACL，Access Control List）策略和策略路由的名稱、源域、源網際互連協議（IP，Internet Protocol）、目的域、目的IP、源端口、目的端口和動作中所有條目的詳細信息。報表輸出信息包括防火墻設備上違反了域間互訪合規規則的安全策略列表明細、設備基本信息及策略對象變更統計等。

2 關鍵技術

本文從網絡安全視角，提出安全域拓撲管理技術及策略建模與分析技術。網絡安全策略可視化管理平臺通過安全分析研究，快速檢測不合規安全策略并實時監測網絡防火墻狀態，研究目前復雜網絡下如何進行可視化的網絡態勢感知，增強網絡安全防護能力，更高效快捷地管理既有網絡安全設備。

從工作流程視角，提出策略優化清理技術及策略應急處置技術。通過研究網絡安全策略的變更業務流程和運維機制，當業務人員提出變更請求，能夠自動分析并在相關設備上變更策略，隨著關鍵業務信息網絡安全策略的變更，實現各安全域部署設備信息的快速更新和展示。

2.1 策略優化清理技術

隱藏策略指同一策略組內，不管動作是否相同，該策略的協議、IP、端口均為其優先級更高策略的子集；空策略為策略中配置源地址、目標地址、服務對象，但對象內容為空；冗余策略為同一策略集內，該策略的協議、IP、端口均包含比其優先級更高的策略，且動作相同。隨著安全設備使用時間增長，若運維人員不固定，后續工作人員不熟悉舊網絡安全策略，則很可能誤刪網絡安全策略對象中的數據，產生大量上述問題策略。

基于大數據和機器學習算法的網絡安全策略優化，可對設備中的網絡安全策略進行秒級優化檢查，從而快速找出設備中的各類冗余策略、屏蔽策略、空策略及過期策略，及時發現并規避全網中過于“寬松”的網絡安全策略與訪問控制策略，從而減少核心業務與數據資產的受攻擊面[5]。通過策略優化清理技術可對網絡安全策略進行深層分析、精準定位，供運維人員進行甄別處理，有效減少因人工配置錯誤產生的問題策略。

2.2 安全域拓撲管理技術

安全域與安全拓撲管理子模塊用于實現全局訪問控制策略關聯分析建模，自動生成安全拓撲。由于網絡環境中存在多臺防火墻，每個防火墻均按照邏輯關系劃分出多個安全域，顯著增加了運維人員管理網絡安全策略的難度?；诎踩蛲負涔芾砑夹g，平臺可提供智能化、自動化的策略開通管理功能，從策略變更工單提交到工單審批、工單推送、策略執行等，都能做到及時跟蹤和審核。同時，平臺自帶策略仿真功能，在工單審批環節可根據全網的網絡安全策略現狀與訪問控制策略基線提供全面的策略變更風險分析報告，協助運維人員快速、有效地完成策略變更，并確保變更內容的準確性。

2.3 策略建模與分析技術

通過策略建模與分析技術對比平臺中已知的訪問通路，可對計算出的設定規則之外的訪問通路進行告警。繪制域間訪問關系矩陣圖，域間訪問關系列表圖還可切換黑、白名單模式，具體分析域間I/O策略，對比風險規則庫中域間訪問風險的內置規則，計算出域間違反規則的通路數量。通過該技術可實現策略查詢分析、策略優化檢查、策略歷史備份與對比、策略命中與收斂分析、策略報表報告等一系列功能，最終實現全網的網絡安全策略可控、可看、可管，大幅提升網絡安全運維管理效率。

2.4 策略應急處置技術

平臺基于策略應急處置技術可實現以下功能：（1）自動識別并定位到與封堵IP相關的防火墻和路由器，實現一鍵封堵下發、全網同步生效；（2）快速封堵不良IP、遏制超大規模網絡攻擊，有效保障數據中心基礎設施安全，全面提升網絡安全防御能力和水平；（3）自動識別并生成封堵腳本，并與安全分析平臺、網絡管理平臺實現聯動后，自動定位待封堵的目標設備，達到快速、智能應急封堵，提升數據中心網絡安全運營效率。

3 平臺應用效果

網絡安全策略可視化管理平臺已應用于鐵路網絡安全和信息化建設實踐中，取得了以下效果。

3.1 降低防火墻設備風險

本文配置的網絡環境有多臺防火墻，按不同安全等級形成多個邏輯區域。因各區域防火墻獨立運行，網絡安全策略動態變化，通過網絡安全策略風險分析，對影響網絡權限的網絡拓撲節點建立從網絡安全視角的安全分析拓撲。結合安全域、安全策略、訪問路徑、業務等與安全相關的數據，分析網絡訪問權限風險，并從安全管理的角度對網絡和業務進行安全風險分析，輔助運維人員降低防火墻設備上具有的安全風險，提高自身安全風險處置能力。

3.2 推動網絡安全體系建設

利用匯集的大量網絡安全策略數據，進行策略建模，建立標準策略規則庫，在運維人員生成配置時，進行安全基線檢查，并對不合規配置需求進行提示和告警。通過網絡安全技術與硬件進行有機組合[6]，形成切實可行的結構化立體安全運維管理體系[7-8]，使網絡安全運維管理在技術上具備可控性，持續強化網絡安全的防護能力部署。

4 結束語

網絡安全策略是網絡邊界第一道安全防線，文章分別從網絡安全視角和工作流程視角，研究網絡安全策略優化清理技術、安全拓撲域管理技術、建模與分析技術及策略應急處置技術，構建基于網絡安全策略的可視化管理平臺。該平臺已在運維管理工作中得到應用，可確保網絡安全策略滿足合規管理要求與安全控制要求，實現網絡安全策略持續合規運維，提高防火墻的應用效果與網絡安全防御的整體水平。